Attention à tous ceux qui envisagent de changer de carrière après une année, J'ai récemment vu des publications sur Threads, quelqu'un a fait un entretien à distance en clonant un repo sans exécuter manuellement et en utilisant un IDE (VS Code / Cursor ..) pour consulter le code source, ce qui a entraîné la fuite de la clé privée sur son ordinateur. -- Pour compléter, voici le principe de l'attaque, beaucoup de gens se méprennent en fait. Les IDE actuels (VS Code, Cursor, WebStorm) ne sont plus seulement des outils pour "voir le code". Dès que vous ouvrez un repo, l'IDE, pour vous aider à faire de l'ESLint, du Prettier, de l'analyse de type TypeScript, et de la détection de framework (Next.js / Vite / React), va automatiquement charger les fichiers de configuration du projet avec Node.js. Des fichiers comme eslint.config.js, prettier.config.js, next.config.js, vite.config.js, qui semblent être des fichiers de configuration, sont en réalité tous des "JavaScript exécutables". L'attaquant cache donc du code malveillant dans ces fichiers de configuration. Vous n'avez pas exécuté npm run, ni node index.js, mais l'IDE a déjà exécuté le code pour vous. Une fois exécuté, il peut faire beaucoup de choses sous "les droits de l'utilisateur", comme lire les clés privées, les clés SSH, les fichiers de configuration, puis envoyer les données à l'extérieur, tout cela sans afficher de fenêtres et sans que vous ne vous en rendiez compte. C'est pourquoi on se retrouve dans cette situation qui semble étrange : Je n'ai fait que cloner le repo Je n'ai fait que ouvrir l'IDE pour voir le code source Mais ma clé privée a disparu. Ce n'est pas une erreur de votre part, ni un manque de conscience en matière de sécurité, mais c'est que la chaîne d'outils modernes pour le développement frontend exécute "automatiquement le code du projet". --...